Os perigos dos crimes cibernéticos existem há muitos anos, mas o aumento da porcentagem da população conectada à Internet e o tempo gasto online proporcionaram mais oportunidades para hackers e criminosos aproveitarem a situação para tentar ganhar mais dinheiro a partir de fraudes.
Técnicas comuns de cibercrimes, como ataques de phishing e ransomware, vêm experimentando picos recentes. Os cibercriminosos também estão se aproveitando das ansiedades e medos desencadeados pela pandemia do COVID-19, usando malwares e outros tipos de fraudes – de sites falsos a anúncios e e-mails maliciosos.
Também está claro que as empresas – não apenas os indivíduos – serão afetadas por esta pandemia de crimes cibernéticos. De acordo com o “The Global Risks Report de 2020”, publicado pelo Fórum Econômico Mundial, o custo do crime cibernético para as empresas até 2021 é estimado em US$ 6 trilhões – montante equivalente ao PIB da terceira maior economia do mundo.
Ainda segundo o relatório, ataques cibernéticos à chamada infraestrutura crítica preocupam como nunca setores como Energia, Saúde e Transportes. Ataques desse tipo podem afetar cidades inteiras, como um caso recente de ransomware ocorrido em Johanesburgo, na África do Sul.
A chamada IoT – Internet das Coisas também vem amplificando o potencial destrutivo dos ataques cibernéticos. Os cerca de 21 bilhões de dispositivos de IoT espalhados pelo mundo devem dobrar até 2025. E os ataques a esses dispositivos conectados também devem se multiplicar: já em 2019, ataques a dispositivos de IoT aumentaram mais de 300%!
Seguindo essa tendência, outro tema que tem atraído muita atenção na área de cibersegurança é a questão da privacidade e proteção de dados pessoais.
O uso de dados pelas empresas tem crescido exponencialmente e as informações digitais têm oferecido um enorme potencial às organizações. Mas, da mesma forma que as novas tecnologias oferecem benefícios às empresas, também criam vulnerabilidades, como, por exemplo, violações de dados, vazamento de informações pessoais ou ataques cibernéticos.
Sendo assim, a proteção dos dados deixou o status de “importante” para ser agora considerada “prioridade” para os negócios. Empresas que oferecem segurança e demonstram respeito e cuidado com os dados de indivíduos serão capazes de se diferenciar no mercado – a privacidade está se tornando motivo para consumidores comprarem um produto, da mesma forma que os rótulos “orgânico”, “livre comércio” e “livre de crueldade” impulsionaram as vendas de muitos produtos na última década.
O “novo consumidor” está cada vez mais exigente. De acordo com um estudo recente da IBM, 96% dos consumidores brasileiros concordam que as organizações devem fazer mais para proteger seus dados.
Não é à toa. Nos últimos anos, escândalos de vazamentos de informações pessoais têm se tornado frequentes, como o caso de milhares de americanos que tiveram seus dados utilizados de forma irregular pelo Facebook.
No Brasil, não tem sido diferente. O país é o número um em ataques financeiros no mundo. Um estudo realizado pela empresa Karspersky, apontou que phishings e trojans financeiros são os maiores responsáveis por essas ocorrências no nosso território. Em 2018, o Banco Inter, um dos pioneiros em oferecer contas digitais no país, confirmou o vazamento de dados de cerca de 19 mil correntistas na internet.
Como consequência, novas regulamentações e normas têm entrado em vigor. E os gestores das empresas precisam estar atentos a essas novas exigências trazidas tanto pela legislação brasileira como pela internacional. É o caso da Lei Geral de Proteção dos Dados Pessoais (LGDP) no Brasil e do Regulamento Geral sobre a Proteção de Dados (GDPR), criado na UE com o objetivo de proteger os dados pessoais dos cidadãos.
Com a LGDP, as empresas terão de passar por uma série de adaptações em relação à coleta, armazenamento e tratamento de dados dos indivíduos. Será obrigação das organizações esclarecer qual a finalidade do uso dos dados e coletar apenas as informações que tiverem o consentimento do titular. Aqueles que violarem tais obrigações estarão sujeitos a multas e sanções, que podem chegar a 2% do faturamento da companhia.
Ainda assim, com muitas incertezas e multas altas, a LGPD pode levar a um caminho perigoso, fazendo surgir outros tipos de crime. É possível que um invasor entre no sistema de uma empresa, pegue os dados e entre em contato com a própria empresa para pedir resgate, como num sequestro cibernético. Numa situação hipotética, com os dados vazados a empresa pagaria multa de R$ 100 mil, por exemplo; o invasor, então, pede R$ 50 mil para não vazar.
O cenário brasileiro em relação à cibersegurança
Violações como essas também podem ocasionar ações judiciais e danos à reputação e à credibilidade das empresas, afetando o valor das marcas, as vendas e os resultados. Soma-se a isso o fato de, no Brasil, haver um preocupante déficit de profissionais especializados na área de segurança da informação e dados.
Apenas 2% das companhias brasileiras acreditam ter um sistema de segurança eficaz. Além disso, 43% delas não contam com um programa de inteligência estruturado contra ameaças virtuais e 45% relatam que dificilmente conseguiriam prever tentativas de roubo de dados. A realidade é que muitas organizações no Brasil ainda investem pouco em cibersegurança.
Isso só reforça a urgência das instituições brasileiras priorizarem o tema nas suas estratégias dos próximos anos. Muitas empresas já vêm se movimentando, mas sabem que há um longo caminho a ser percorrido. E adaptar-se pode ser uma tarefa complexa – exigindo mudanças na cultura organizacional, nos processos e nas tecnologias.
Um primeiro passo poderia ser desenvolver mecanismos que detectem riscos e atrasem a ação de hackers. Utilizar um duplo fator de autenticação e priorizar senhas mais fortes normalmente são boas opções para reforçar seu sistema de defesa.
Foco nos processos e nas pessoas
Diante desse cenário, a cibersegurança não pode mais ser vista somente como um problema a ser resolvido; uma boa abordagem mais proativa nessa área pode tornar-se instrumento poderoso para as organizações anteciparem riscos e buscarem diferenciação.
Os desafios são muitos. As empresas devem investir não apenas em tecnologia – hardwares e softwares mais seguros –, mas, principalmente, em processos melhores e no fator humano. Capacitar, treinar e orientar funcionários – ou mesmo contratar equipes especializadas – deve ser prioridade. Colaboradores não treinados representam riscos enormes para a segurança dos dados e para a reputação da marca.
Quando os funcionários não estão conscientizados sobre a importância da segurança digital, eles acabam sendo os responsáveis primários por riscos cibernéticos. Sendo assim, não adianta ter o sistema de proteção de dados mais avançado, se a cultura organizacional não estiver bem estruturada e preparada para as ameaças frequentes.
O papel fundamental da liderança
Os gestores precisam entender que a cultura de segurança vai muito além de tecnologia e que é primordial ter a segurança cibernética no DNA da companhia. Esse DNA precisa estar inserido no cotidiano de todos os colaboradores e nos processos internos de qualquer empresa.
O desafio das ameaças cibernéticas será de todos os setores e em todos os países. Sendo assim, as organizações devem aumentar o engajamento da alta administração e dos conselhos na supervisão do gerenciamento de riscos cibernéticos e de privacidade de dados. Pode até ser interessante investir em áreas independentes de cibersegurança. A recomendação, no entanto, é que a cibersegurança seja tratada como competência chave dentro da organização – mais uma filosofia ou mentalidade do que propriamente um processo específico ou departamento.
Empresas que absorverem essa competência chave em seu DNA certamente estarão mais bem posicionadas no mercado e abrirão vantagem sobre os concorrentes.